「ForesightNews」据
区块链安全审计公司Beosineagleeye安全风险监控、预警和阻断平台分析,今天上午被攻击的Defi贷款协议Sentiment被盗资产约100万美元,其中包括0.5个WBTC、30枚WETH、53.8万USDC和36万USDT。目前,大部分被盗资金仍在攻击者地址。攻击的原因是重新进入造成的价格错误。Beosin安全团队分析了事件:1.攻击者首先调用BalancerVault「joinPool」质押函数。2.再次调用「exitPool」在此过程中,Balancervault将eth发送给攻击者,以调用攻击合同的fallback函数。在这个函数中,攻击者调用0x62c5合同的borow函数,这个过程需要根据balancervault进行.getPoolTokens()价格计算返回数据。而目前正在攻击的人「exitPool」在这个过程中,pool中的总供应量已经减少,数据还没有更新,攻击者利用这个数据错误借出更多的资产来获利。
